Voorkom torenhoge privacy-boetes

Over een klein jaar zullen de regels rondom privacy en het verwerken van gegevens (drastisch) gaan veranderen. Op 25 mei 2018 treedt namelijk de Algemene Verordening Gegevensbescherming (AVG) in werking. Deze verordening zal gelden in de hele Europese Unie en vervangt dan de Nederlandse Wet bescherming persoonsgegevens (Wbp). Kort gezegd breidt de AVG de privacy-rechten van burgers uit, legt zij meer verplichtingen op aan organisaties en zijn de boetes fors hoger. U dient hierop goed voorbereid te zijn. Wij geven u daarom een aantal adviezen waar u nu al mee aan de slag kunt.

Creëer bewustwording

Zorg ervoor dat de mensen in uw organisatie op de hoogte zijn van de nieuwe privacyregels. Het menselijk handelen om de privacy te beschermen is minstens zo belangrijk als goede beveiliging van systemen. Het belang van bewustwording en risicobesef kan niet onderschat worden.

Inventariseer de gegevensverwerkingen

Breng de diverse gegevensverwerkingen in kaart. Welke gegevens verwerkt u en met welk doel? Waar komen de gegevens vandaan en met wie worden zij gedeeld? Vermeld daarbij ook op welke (wettelijke) grondslag de gegevens worden verwerkt. Besteed eveneens aandacht aan gegevensverwerking die een intern doeleinde hebben, zoals de persoonsregistratie van (eigen) medewerkers.
Organisaties met 250 werknemers of meer, die op grote schaal persoonsgegevens verwerken of die gevoelige persoonsgegevens verwerken zijn verplicht om hun gegevensverwerkingen in een overzicht of register bij te houden. Maar ook voor andere organisaties is een dergelijk overzicht nuttig, bijvoorbeeld als betrokkenen hun privacyrechten willen uitoefenen en om correctie of verwijdering van hun gegevens vragen. De AVG introduceert ook nieuwe privacyrechten, zoals het recht op dataportabiliteit. Dit houdt in dat betrokkenen het recht hebben om een kopie van hun gegevens op eenvoudige manier over te dragen aan een andere partij. Ook wordt het recht om vergeten te worden (right to be forgotten) wettelijk verankert.
Organisaties zijn straks verplicht om aan te tonen dat zij in overeenstemming met de AVG handelen. Leg daarom zo veel mogelijk schriftelijk vast in protocollen en controleer regelmatig of deze nog up-to-date zijn. Vergeet ook niet om de bestaande bewerkersovereenkomsten te controleren en te beoordelen of de daarin genoemde maatregelen om de privacy te beschermen nog toereikend zijn.

Privacy impact assessment (PIA)

privacy Algemene Verordening Gegevensbescherming LeeuwendaalGa na of een privacy impact assessment (PIA) voor uw organisatie verplicht is. Dat is het geval als het waarschijnlijk is dat de beoogde verwerking van gegevens een hoog privacy-risico met zich meebrengt. Met een PIA brengt u de risico’s in kaart, zodat u maatregelen kunt treffen die het risico verkleinen. Indien het risico groot blijft, dient u eerst met de Autoriteit Persoonsgegevens te overleggen alvorens u met de verwerking start.

Functionaris voor de gegevensverwerking (FG)

Bepaal of u een functionaris voor de gegevensverwerking (FG) moet instellen. Onder de AVG zijn publieke overheden en organisaties die activiteiten uitvoeren die regelmatig en systematische monitoring van gebruikers vereisen of op grote schaal persoonlijke gegevens verwerken, daartoe verplicht. De FG heeft als taak toe te zien op de omgang met persoonsgegevens en te controleren of de organisatie voldoet aan privacyregelgeving.

Datalekken melden

Er worden straks strengere eisen gesteld aan de verplichting om datalekken te melden. U moet alle datalekken documenteren, zodat de Autoriteit Persoonsgegevens kan controleren of u aan de meldplicht heeft voldaan.

Voorkom boetes!

Indien u zich niet houdt aan de AVG dan kan de Autoriteit Persoonsgegevens u daarvoor een forse boete opleggen die kan oplopen tot € 20 miljoen of 4% van de totale (wereldwijde) jaaromzet. Bereid u daarom goed voor op de nieuwe privacy verordening! Wij kunnen u daarbij helpen, bijvoorbeeld bij het opzetten van een register van gegevensverwerkingen of het up-to-date maken van uw privacyreglementen en –protocollen. Ook verzorgen wij interactieve privacybewustwordingssessies om het bewustzijn voor gegevensbescherming binnen uw organisatie te vergroten.

Contact en meer informatie

Voor meer informatie hierover kunt u contact opnemen met Rilana de Vries.

mr. Rilana de Vries

No Photo Available
Juridisch adviseur Mobiel: 06 2374 9606 Telefoon werk: 088 00 868 00
Biografie

Rilana is sinds 2017 werkzaam bij Leeuwendaal als juridisch adviseur. Na een aantal jaren bij een accountantskantoor te hebben gewerkt, heeft zij de stap gemaakt naar een meer adviesgerichte organisatie waar zij zich volledig heeft gespecialiseerd in het arbeids- en ambtenarenrecht. Haar werkzaamheden bestaan onder meer uit het adviseren over diverse personeelsaangelegenheden, zoals functioneren en ontslag, maar ook over bekostigings- en huisvestingskwesties. In haar werk streeft Rilana er naar om op heldere wijze tot een praktische oplossing te komen.